Neos的渗透测试靶机练习——Wakanda

---

一、实验环境

虚拟机软件：VirtualBox
攻击机：Kali Linux（仅主机模式）
靶机：Wakanda（仅主机模式，共有3个flag）

---

二、开始渗透（根据流程学习思路）

1.获知本机IP、靶机IP

1. 切换到root用户（输入sudo su及对应的密码）

2. 查询本机IP（输入ifconfig）

由eth0中的inet，知本机IP为192.168.56.101。

3. 扫描靶机IP（输入netdiscover -i eth0）

由以上，知靶机IP为192.168.56.102。输入arp-scan -l亦可

2.靶机端口、协议、前端信息（Nmap）

1. 查询端口信息（输入Nmap -sS -p- 192.168.56.102）

可以发现，80端口（http服务），3333端口（ssh服务，虽然叫dec-notes）是开放的，有兴趣的同学可以自己去了解一下rpcbind。

2. 从页面中搜集信息（http://192.168.56.102:80）

发现一个叫mamadou的，留个心眼，点击Learn more没反应，看看源码吧。

标黄处有个注释，a标签，href属性，考虑是个文件包含漏洞。

3. PHP伪协议

参数lang试了几个，没有可用的，考虑应用php伪协议（是不是自己赶紧去看看这是啥）。
浏览器输入192.168.56.102/?lang=php://filter/convert.base64-encode/resource=index，出来一个长字符串，

把这串字符，用base64解码（自己想办法，我丢到kali自带的burp里去解码）

发现密码！对了，mamadou，你说这是谁的密码呢？

3.进入后台，查看敏感数据

1. 输入用户名、密码，登录靶机

由上文知，用户名为mamadou，加上刚知晓的密码，通过ssh登录。

2. 由Python切换到Bash

由上图，发现是python环境，故输入

import pty
pty.spawn("/bin/bash")

3. 第一个flag

在当前目录中发现第一个flag。

4. 切换用户权限

输入cat /etc/passwd，看看有没有其他有意思的用户

在最底下发现一个devops，嗯，搞一搞。输入cd /home/devops，ls -al，找到第二个flag。
发现flag2无权限，不可访问。
翻啊翻，找啊找，发现在tmp目录下有东西。

发现test文件的创建时间与其他文件不一样，date查看时间后发现就是刚才创建的，故这里应该是系统中有一个定时运行的程序，每次运行都会创建test文件。继续找啊找，发现srv目录下有关于这个文件创建的信息。

即这个.antivirus.py文件，当前有权限打开，故可写入代码使其运行并反弹shell。

标黄代码为原文件内容，保存后侦听本机的4412端口，等待.antivirus.py运行。

等个几分钟，来了

这时，可以打开flag2.txt了

5. 通过pip提升到root权限

（1）输入sudo -l，发现devops能使用且不需要root密码的sudo指令只有pip，故可通过pip来提权。

（2）输入git clone https://github.com/0x00-0x00/FakePip 下载exp后，编辑其中的setup.py文件

将LHOST改为kali地址，即192.168.56.101，并且可知反弹shell的端口为13372，到时候侦听即可。
PS：这里下载FakePip的时候需要把kali设为桥接模式，下载好后再换回来
（3）将此exp传到靶机中

这里的192.168.1.5ip是因为期间为了下载FakePip，网卡改成了桥接模式，无伤大雅，改回来就行。
（4）执行脚本，获取root权限
先在本机输入nc -lvvp 13372，侦听13372端口。
然后在靶机上输入sudo /usr/bin/pip install . --upgrade --force-reinstall，执行脚本

OK了提权成功。
（5）找到第三个flag
在根目录下找到第三个flag。

至此结束。

---

三、总结

有一些知识点需要去了解，文件包含漏洞，php伪协议，rpcbind服务，ssh服务，pip提权，Linux文件定时执行。总之这个靶机还是很经典的，并且很有意思，大家照猫画虎，学习一下思路，尽量能举一反三，这对渗透其他系统也能有很大帮助，希望我们能够有所提升。